
Isikuandmete kaitse seadus^ 


1. peatiikk 
ULDSATTED 


§ 1, Seaduse reguleerimisala 

(1) Kaesolev seadus reguleerib; 

1) fiiusiliste isikute kaitset isikuandmete tootlemisel ulatuses, milles see tapsustab ja taiendab 
satteid, mis sisalduvad Euroopa Parlamendi ja noukogu maaruses (EL) 2016/679 fiiusiliste 
isikute kaitse kohta isikuandmete tootlemisel ja selliste andmete vaba liikumise ning 
direktiivi 95/46/EU kehtetuks tunnistamise kohta (isikuandmete kaitse iildmaarus) 
(ELTL 119, 04.05.2016, Ik 1-88); 

2) fiiusiliste isikute kaitset isikuandmete tootlemisel oiguskaitseasutuste poolt siiiitegude 
tokestamisel, avastamisel ja menetlemisel ning karistuste taideviimisel. 

(2) Kaesolev seadus satestab; 

1) normid, et rakendada Euroopa Parlamendi j a noukogu maarust (EL) 2016/679; 

2) normid, et iile votta Euroopa Parlamendi ja noukogu direktiiv (EL) 2016/680, mis kasitleb 
fiiiisiliste isikute kaitset seoses padevates asutustes isikuandmete tootlemisega siiiitegude 
tokestamise, uurimise, avastamise ja nende eest vastutusele votmise voi kriminaalkaristuste 
taitmisele pooramise eesmargil ning selliste andmete vaba liikumist ning millega tunnistatakse 
kehtetuks noukogu raamotsus 2008/977/JSK (ELT L 119, 04.05.2016, Ik 89-131); 

3) isikuandmete tootlemise nouete taitmise iile riikliku ja haldusjarelevalve teostamise korra; 

4) vastutuse isikuandmete tootlemise nouete rikkumise eest. 

§ 2. Seaduse ning Euroopa Parlamendi ja ndukogu maaruse (EL) 2016/679 kohaldamisala 
erisused 

Kaesolevat seadust ning Euroopa Parlamendi ja noukogu maamst (EL) 2016/679 kohaldatakse: 

1) siiiiteomenetlusele ja kohtumenetlusele menetlusseadustikes satestatud erisustega; 

2) pohiseaduslikele institutsioonidele niivord, kuivord see ei puuduta nende pohiseaduslike 
iilesannete taitmist ega ole reguleeritud neid puudutavates eriseadustes. 

§ 3. Haldusmenetluse seaduse kohaldamine 

Kaesolevas seaduses ettenahtud haldusmenetlusele kohaldatakse haldusmenetluse seaduse 
satteid, arvestades kaesoleva seaduse erisusi. 

2. peatiikk 

ISIKUANDMETE TOOTLEMISE ERIALUSED 
§ 4. Isikuandmete tootlemine ajakirjanduslikul eesmargil 

Isikuandmeid voib andmesubjekti nousolekuta toodelda ajakirjanduslikul eesmargil, eelkoige 
avalikustada meedias, kui selleks on avalik huvi ja see on kooskolas ajakirjanduseetika 
pohimotetega. Isikuandmete avalikustamine ei tohi iilemaara kahjustada andmesubjekti 
oigusi. 
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§ 5. Isikuandmete tootlemine akadeemilise, kunstilise ja kirjandusliku enesevaljenduse 
tarbeks 

Isikuandmeid voib andmesubjekti nousolekuta toodelda akadeemilise, kunstilise ja 
kirjandusliku enesevaljenduse eesmargil, eelkoige avalikustada, kui see ei kahjusta iilemaara 
andmesubjekti oigusi. 

§ 6. Isikuandmete tootlemine teadus- ja ajaloouuringu ning riikliku statistika vajadusteks 

(1) Isikuandmeid voib andmesubjekti nousolekuta teadus- voi ajaloouuringu voi riikliku 
statistika vajadusteks toodelda eelkoige pseudoniiumitud voi samavaarset andmekaitse taset 
voimaldaval kujul. Enne isikuandmete iileandmist teadus- voi ajaloouuringu voi riikliku 
statistika vajadustel tootlemiseks asendatakse isikuandmed pseudoniiumitud voi samavaarset 
andmekaitse taset voimaldaval kujul andmetega. 

(2) Depseudoniiumimine voi muu viis, millega isikut mittetuvastavad andmed muudetakse 
uuesti isikut tuvastavaks, on lubatud ainult taiendavate teadus- voi ajaloouuringute voi riikliku 
statistika vajadusteks. Isikuandmete tootleja maarab nimeliselt isiku, kellel on juurdepaas 
depseudoniiumimist voimaldavatele andmetele. 

(3) Teadus- voi ajaloouuringu voi riikliku statistika vajadusteks andmesubjekti nousolekuta 
tema kohta kaivate andmete tootlemine andmesubjekti tuvastamist voimaldaval kujul on 
lubatud iiksnes juhul, kui on taidetud jargmised tingimused: 

Ijparast tuvastamist voimaldavate andmete eemaldamist ei ole andmetootluse eesmargid 
enam saavutatavad voi neid oleks ebamoistlikult raske saavutada; 

2) teadus- voi ajaloouuringu voi riikliku statistika tegija hinnangul on selleks iilekaalukas 
avalik huvi; 

3) toodeldavate isikuandmete pohjal ei muudeta andmesubjekti kohustuste mahtu ega 
kahjustata muul viisil iilemaara andmesubjekti oigusi. 

(4) Kui teadus- voi ajaloouuring pohineb eriliiki isikuandmetel, siis kontrollib asjaomase 
valdkonna eetikakomitee enne kaesolevas paragrahvis satestatud tingimuste taitmist. Kui 
teadusvaldkonnas puudub eetikakomitee, siis kontrollib nouete taitmist Andmekaitse 
Inspektsioon. Rahvusarhiivis sailitatavate isikuandmete suhtes on eetikakomitee oigused 
Rahvusarhiivil. 

(5) Kaesoleva seaduse tahenduses loetakse teadusuuringuks ka taidesaatva riigivoimu 
analiiusid ja uuringud, mis tehakse poliitika kujundamise eesmargil. Nende koostamiseks on 
taidesaatval riigivoimul oigus teha paringuid teise vastutava voi volitatud tootleja 
andmekogusse ning toodelda saadud isikuandmeid. Andmekaitse Inspektsioon kontrollib enne 
nimetatud isikuandmete tootlemise algust kaesolevas paragrahvis satestatud tingimuste 
taitmist, valja arvatud juhul, kui poliitika kujundamiseks tehtava uuringu eesmargid ja 
isikuandmete tootlemise ulatus tulenevad oigusaktist. 

(6) Kui isikuandmeid toodeldakse teadus- voi ajaloouuringu voi riikliku statistika eesmargil, 
voib vastutav voi volitatud tootleja Euroopa Parlamendi ja noukogu maaruse (EE) 2016/679 
artiklites 15, 16, 18ja21 satestatud andmesubjekti oigusi piirata niivord, kuivord nende 
oiguste teostamine toenaoliselt muudab voimatuks teadus- voi ajaloouuringu voi riikliku 
statistika eesmargi saavutamise voi takistab seda oluliselt. 

§ 7, Isikuandmete tootlemine avalikes huvides tehtava arhiveerimise eesmargil 

(l)Kui isikuandmeid toodeldakse avalikes huvides tehtava arhiveerimise eesmargil, voib 
vastutav voi volitatud tootleja Euroopa Parlamendi ja noukogu maaruse (EE) 2016/679 
artiklites 15, 16 ja 18-21 satestatud andmesubjekti oigusi piirata niivord, kuivord nende 
oiguste teostamine toenaoliselt muudab voimatuks avalikes huvides tehtava arhiveerimise 
eesmargi saavutamise voi takistab seda oluliselt. 
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(2)Kaesoleva paragrahvi loikes 1 nimetatud andmesubjekti oigusi voib piirata selleks, et 
mitte ohustada arhivaalide seisundit, autentsust, usaldusvaarsust, terviklikkust ja kasutatavust. 


3. peatiikk 

MUUD JUHUD ISIKUANDMETE TOOTLEMISEL 

§ 8. Lapse isikuandmete tootlemine infoiihiskonna teenuste pakkumisel 

(1) Kui kohaldatakse Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artikli 6 loike 1 
punkti a seoses infoiihiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete 
tootlemine lubatud ainult juhul, kui laps on vahemalt 13-aastane. 

(2) Kui laps on noorem kui 13-aastane, on isikuandmete tootlemine lubatud iiksnes sellisel 
juhul ja sellises ulatuses, milleks on nousoleku andnud lapse seaduslik esindaja. 

§ 9. Isikuandmete tootlemine parast andmesubjekti surma 

(1) Andmesubjekti nousolek kehtib andmesubjekti eluajal ja 10 aastat parast andmesubjekti 
surma, kui andmesubjekt ei ole otsustanud teisiti. Kui andmesubjekt on surnud alaealisena, 
siis kehtib tema nousolek 20 aastat parast andmesubjekti surma. 

(2) Parast andmesubjekti surma on tema isikuandmete tootlemine lubatud andmesubjekti 
parija nousolekul, valja arvatud juhul, kui: 

1) andmesubjekti surmast on moodunud 10 aastat; 

2) alaealiselt surnud andmesubjekti surmast on moodunud 20 aastat; 

3) isikuandmeid toodeldakse muul oiguslikul alusel. 

(3) Mitme parija olemasolul on andmesubjekti isikuandmete tootlemine lubatud neist iikskoik 
kelle nousolekul. 

(4) Kaesoleva paragrahvi loikes 1 nimetatud nousolekut ei ole vaja, kui toodeldavateks 
isikuandmeteks on iiksnes andmesubjekti nimi, sugu, siinni- ja surmaaeg, surma fakt ning 
matmise aeg ja koht. 

§ 10. Isikuandmete tootlemine seoses vdlasuhte rikkumisega 

(1) Volasuhte rikkumisega seotud isikuandmete edastamine kolmandale isikule ja edastatud 
andmete tootlemine kolmanda isiku poolt on lubatud andmesubjekti krediidivoimelisuse 
hindamise eesmargil voi muul samasugusel eesmargil ning iiksnes juhul, kui vastutav voi 
volitatud tootleja on kontrollinud edastatavate andmete oigsust ja oiguslikku alust 
isikuandmete edastamiseks ning on registreerinud andmeedastuse. 

(2) Kaesoleva paragrahvi loikes 1 nimetatud eesmargil andmeid koguda ja kolmandale isikule 
edastada ei ole lubatud, kui: 

1) tegemist on eriliiki isikuandmete tootlemisega Euroopa Parlamendi ja noukogu maaruse 
(EL) 2016/679 artikli 9 loike 1 tahenduses; 

2) tegemist on andmetega siiiiteo toimepanemise voi selle ohvr iks langemise kohta enne avalikku 
kohtuistungit voi oigusrikkumise asjas otsuse langetamist voi asja menetluse lopetamist; 

3) see kahjustaks iilemaara andmesubjekti oigusi voi vabadusi; 

4) lepingu rikkumisest on moodunud vahem kui 30 paeva; 

5) kohustuse rikkumise loppemisest on moodunud rohkem kui viis aastat. 

§ 11. Isikuandmete tootlemine avalikns kohas 

Kui seadus ei satesta teisiti, asendab avalikus kohas avalikustamise eesmargil toimuva 
heli- voi pildimaterjalina jaadvustamise puhul andmesubjekti nousolekut tema teavitamine 
sellises vormis, mis voimaldab tal heli- voi pildimaterjali jaadvustamise faktist aru saada ja 
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enda jaadvustamist soovi korral valtida. Teavitamiskohustus ei kehti avalike iirituste puhul, 
mille avalikustamise eesmargil jaadvustamist voib moistlikult eeldada. 


4. peatiikk 

ISIKUANDMETE TOOTLEMINE OIGUSKAITSEASUTUSE POOLT SUUTEO 
TOKESTAMISEL, AVASTAMISEL JA MENETLEMISEL 
NING KARISTUSE TAIDEVIIMISEL 

l.jagu 

lildsatted 


§ 12. Kaesoleva peatiiki kohaldamine 

(1) Kaesolevat peatiikki kohaldatakse isikuandmete tootlemisele oiguskaitseasutuse poolt 
suiiteo tokestamisel, avastamisel ja menetlemisel ning karistuse taideviimisel. 

(2) Kaesolevat peatiikki ei kohaldata isikuandmete tootlemisele riikliku jarelevalve ega 
haldusjarelevalve teostamisel. 

(3) Kaesoleva peatiikiga nahakse ette oiguskaitseasutusele kohaldatavad erisused. 
Oiguskaitseasutusele ei kohaldata Euroopa Parlamendi ja noukogu maarust (EL) 2016/679, kui 
kaesolevast seadusest ei tulene teisiti. 

§ 13. Terminid 

(1) Kaesolevas peatiikis kasutatakse termineid Euroopa Parlamendi ja noukogu maaruse (EL) 
2016/679 artikli 4 ja artikli 9 loike 1 tahenduses. 

(2) Kaesolevas peatiikis kasitatakse oiguskaitseasutusena asutust voi asutuse stmktuuriiiksust, kes 
on padev seaduse alusel siiiitegu tokestama, avastama ja menetlema voi karistust taide viima. 

2.jagu 

Pohimotted 

§ 14. Isikuandmete tootlemise pdhimdtted 

Isikuandmete tootlemisel tuleb jargida jargmisi pohimotteid: 

1) seaduslikkus ja oiglus - isikuandmeid toodeldakse seaduslikult ja oiglaselt; 

2) eesmargikohasus - isikuandmeid kogutakse tapselt ja selgelt kindlaksmaaratud 
oigusparastel eesmarkidel ning neid ei toodelda viisil, mis on nende eesmarkidega vastuolus; 

3) kvaliteet - isikuandmed peavad olema piisavad ja asjakohased ning ei tohi olla iilemaarased 
andmetootluse eesmarke arvestades; 

4) oigsus - isikuandmed peavad olema oiged ja vajaduse korral ajakohastatud; moistlike 
meetmetega tagatakse, et andmetootluse eesmargi seisukohast ebaoiged isikuandmed 
kustutatakse voi parandatakse viivitamata; 

5) sailitamine - isikuandmeid sailitatakse kujul, mis voimaldab andmesubjekti tuvastada 
iiksnes seni, kuni see on vajalik selle eesmargi taitmiseks, milleks isikuandmeid toodeldakse; 

6) turvalisus - isikuandmeid toodeldakse viisil, mis tagab nende turvalisuse, sealhulgas 
kaitseb loata voi ebaseadusliku tootlemise eest ning juhusliku kadumise, havimise voi 
kahjustumise eest, rakendades asjakohaseid tehnilisi voi korralduslikke meetmeid. 

§ 15. Isikuandmete tootlemise seaduslikkus 

Oiguskaitseasutus voib isikuandmeid toodelda seaduse alusel, kui nende tootlemine on vajalik 
suiiteo tokestamise, avastamise voi menetlemise voi karistuse taideviimise eesmargist 
tuleneva iilesande taitmiseks. 
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§ 16, Isikuandmete tootlemine algsest erineval eesmargil 

(1) Isikuandmete tootlemine sama voi muu vastutava tootleja poolt muul kaesoleva seaduse 
§11 loikes 1 satestatud eesmargil kui algne eesmark, milleks isikuandmeid kogutakse, on 
lubatud niivord, kuivord: 

1) vastutaval tootlejal on sellisel eesmargil isikuandmete tootlemiseks olemas seadusest voi 
Euroopa Liidu oigusaktist tulenev alus ja 

2) selline isikuandmete tootlemine on seaduse voi Euroopa Eiidu oigusakti kohaselt vajalik ja 
seatud eesmargiga proportsionaalne. 

(2) Oiguskaitseasutuse poolt kaesoleva seaduse § 12 loikes 1 satestatud eesmarkidel kogutud 
voi kogutavaid isikuandmeid ei tohi toodelda muul eesmargil, valja arvatud kaesoleva 
paragrahvi loikes 1 satestatud juhtudel voi kui selline tootlemine on lubatud seaduse voi 
Euroopa Eiidu oigusaktiga. Kui isikuandmeid toodeldakse sellisel muul eesmargil, 
kohaldatakse Euroopa Parlamendi ja noukogu maarust (EE) 2016/679, valja arvatud juhul, kui 
isikuandmeid toodeldakse sellise tegevuse kaigus, mis ei kuulu nimetatud maaruse 
kohaldamisalasse. Olukorras, kus tootlemise eesmark ei kuulu nimetatud maaruse 
kohaldamisalasse, kohaldatakse Eesti oigust. 

(3) Kui oiguskaitseasutus taidab seaduse kohaselt ka muid iilesandeid kui need, mida 
taidetakse kaesoleva seaduse § 12 loikes 1 satestatud eesmarkidel, kohaldatakse sellisel 
eesmargil isikuandmete tootlemisele Euroopa Parlamendi j a noukogu maarust (EE) 2016/679. 
Olukorras, kus tootlemise eesmark ei kuulu nimetatud maaruse kohaldamisalasse, 
kohaldatakse Eesti oigust. 

§ 17. Isikuandmete smlitamine 

(1) Toodeldavatele isikuandmetele kehtestatakse seaduse voi maarusega sailitamise tahtaeg. 
Erandjuhul, kui isikuandmete sailitamise tahtaega pole seaduse voi maarusega kehtestatud, 
peab selle tahtaja kehtestama vastutav tootleja. 

(2) Kaesoleva paragrahvi loike 1 alusel kehtestatud sailitamise tahtaega on lubatud pikendada 
iiksnes pohjendatud juhul, valja arvatud siis, kui sailitamise tahtaeg on satestatud oigustloovas 
aktis. 

(3) Kui konkreetset sailitamise tahtaega ei ole voimalik kehtestada, peab vastutav tootleja 
rakendama oiguslikke ja tehnoloogilisi meetmeid, mis voimaldavad pidevalt hinnata andmete 
jatkuva tootlemise vajalikkust. 

(4) Kui isikuandmete sailitamise tahtaeg lopeb, on vastutav ja volitatud tootleja kohustatud 
isikuandmed jaadavalt kustutama. Selleks peab vastutav tootleja rakendama nouetekohaseid 
oiguslikke ja tehnoloogilisi meetmeid. 

§ 18. Andmesubjektide eri kategooriate eristamine 

Voimaluse korral ja asjakohasel juhul eristab vastutav tootleja isikuandmete tootlemisel 
andmesubjektide eri kategooriatena menetlusalused isikud, kahtlustatavad, suiidistatavad, 
kannatanud, tunnistajad, kinnipeetavad, arestialused, kriminaalhooldusalused ja teised isikud. 

§ 19, Hinnangutel pohinevate isikuandmete eristamine 

Vastutav tootleja eristab voimaluste piires faktidel pohinevad isikuandmed isiklikel 
hinnangutel pohinevatest isikuandmetest. 

§ 20. Eriliiki isikuandmete tootlemise erisused 

(l)Eriliiki isikuandmete tootlemine on lubatud ainult siis, kui see on rangelt vajalik, ning 
iiksnes jargmistel juhtudel: 

1) tootlemise lubatavus on satestatud oigusaktis; 
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2) tootlemine on vajalik andmesubjekti voi teise fuusilise isiku eluliste huvide kaitseks voi 

3) toodeldakse isikuandmeid, mille andmesubjekt on ise ilmselgelt avalikustanud. 

(2) Kaesoleva paragrahvi loikes 1 nimetatud eriliiki isikuandmete tootlemisele kohaldatakse 
andmesubjekti oiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid. 

§ 21. Automatiseeritud tootlemine 

(1) Keelatud on teha iiksnes automatiseeritud tootlusel pohinevat otsust, sealhulgas 
profiilianaluiisi, kui see toob andmesubjektile kaasa teda puudutavaid kahjulikke oiguslikke 
tagajargi voi avaldab talle muud markimisvaarset moju. Sellise otsuse voib teha, kui otsuse 
tegemine on lubatud seadusega, milles on satestatud asjakohased meetmed andmesubjekti 
oiguste ja vabaduste ning oigustatud huvide kaitseks. 

(2) Andmesubjektil on kaesoleva paragrahvi loikes 1 nimetatud otsuse kohta oigus esitada 
vastutavale tootlejale vastuvaiteid oma oigustatud huvi kaitseks. 

(3) Kaesoleva paragrahvi loikes 1 nimetatud otsus ei tohi pohineda eriliiki isikuandmetel, 
valja arvatud juhul, kui kohaldatakse sobivaid meetmeid andmesubjekti oiguste, vabaduste ja 
oigustatud huvide kaitsmiseks. 

(4) Keelatud on profiilianaluusil pohinev otsus, mille tulemusel fuusilisi isikuid 
diskrimineeritakse eriliiki isikuandmete alusel. 

3.jagu 

Andmesubjekti digused 

§ 22. Andmesubjektile kattesaadavaks tehtav teave 

(1) Vastutav tootleja on kohustatud avalikustama jargmise teabe: 

1) isikuandmete tootlemise kavandatud eesmark; 

2) isiku pooh enda andmetega tutvumise ning nende parandamise, kustutamise voi piiramise 
oigus j a oiguste teostamise kord; 

3) vastutava tootleja ning andmekaitsespetsialisti nimi ja kontaktandmed; 

4) Andmekaitse Inspektsiooni kontaktandmed; 

5) oigus esitada kaebus Andmekaitse Inspektsioonile, kui isikuandmete tootlemisel on rikutud 
andmesubjekti oigusi. 

(2) Kaesoleva paragrahvi loikes 1 nimetatud avaltkustamisena kasitatakse teabe avalikustamist 
vastutava tootleja veebilehel voi muus andmesubjektile kergesti juurdepaasetavas asukohas. 

§ 23. Andmesubjekti teavitamisel antav teave 

(1) Kui seaduses on satestatud kohustus teavitada andmesubjekti tema isikuandmete 
tootlemisest, annab vastutav tootleja andmesubjektile jargmise lisateabe: 

1) kaesoleva seaduse § 22 loikes 1 nimetatud teave; 

2) isikuandmete tootlemise oiguslik alus; 

3) isikuandmete sailitamise tahtaeg voi sailitamise tahtaja maaramise alused; 

4) nende vastuvotjate kategooriad, kellele on lubatud edastada isikuandmeid; 

5) vajaduse korral muu lisateave. 

(2) Seaduses satestatud juhtudel voib vastutav tootleja kaesoleva paragrahvi loikes 1 
nimetatud teabe andmesubjektile esitada hiljem, piirata selle esitamist voi jatta selle esitamata, 
kui see voib: 

1) takistada voi kahjustada suiiteo tokestamist, avastamist voi menetlemist voi karistuse 
taideviimist; 

2) kahjustada teise isiku oigusi ja vabadusi; 

3) ohustada riigi julgeolekut; 


6 






4) ohustada avaliku korra kaitset; 

5) takistada ametlikku uurimist voi menetlust. 

§ 24. Andmesubjekti digus saada teavet ja enda kohta kaivaid isikuandmeid 

(1) Andmesubjektil on Signs saada vastutavalt tootlejalt kinnitus selle kohta, et tema 
isikuandmeid toodeldakse. Andmesubjekti soovil peab vastutav tootleja andmesubjektile 
teatavaks tegema: 

1) tema kohta kaivad isikuandmed ja asjaomaste isikuandmete kategooriad; 

2) isikuandmete paritolu kasitleva olemasoleva teabe; 

3) isikuandmete tootlemise eesmargi ja Sigusliku aluse; 

4) vastuvStjad voi nende kategooriad, kellele andmesubjekti isikuandmeid on avalikustatud; 

5) kavandatava isikuandmete sailitamise tahtaja voi sailitamise tahtaja maaramise alused; 

6) Siguse taotleda vastutavalt tootlejalt andmesubjekti isikuandmete parandamist, kustutamist 
voi nende tootlemise piiramist; 

7) Siguse esitada Andmekaitse Inspektsioonile kaebus ning Andmekaitse Inspektsiooni 
kontaktandmed. 

(2) Seaduses satestatud juhtudel vSib vastutav tSStleja kaesoleva paragrahvi ISikes 1 
nimetatud teabe andmesubjektile esitada hiljem, piirata selle esitamist vSi keelduda selle 
valjastamisest, kui see vSib; 

1) takistada vSi kahjustada suiiteo tSkestamist, avastamist vSi menetlemist vSi karistuse 
taideviimist; 

2) kahjustada teise isiku Sigusi ja vabadusi; 

3) ohustada riigi julgeolekut; 

4) ohustada avaliku korra kaitset; 

5) takistada ametlikku uurimist vSi menetlust. 

(3) Vastutav tSStleja teavitab andmesubjekti viivitamata kirjalikult kaesoleva paragrahvi 
ISikes 1 nimetatud teabega tutvumise piiramisest vSi sellise teabega tutvumisest keeldumisest 
ja selle pShjustest. Vastutav tSStleja vSib jatta pShjendused esitamata, kui sellise teabe 
andmine pShjustaks mSne kaesoleva paragrahvi ISikes 2 nimetatud asjaolu esinemise. 

(4) Andmesubjekti teavitamisel kaesoleva paragrahvi IS ike 3 kohaselt teavitab vastutav 
tSStleja andmesubjekti tema Sigusest pSSrduda otsuse vaidlustamiseks Andmekaitse 
Inspektsiooni vSi kohtu poole. 

(5) Vastutav tSStleja dokumenteerib kaesoleva paragrahvi ISike 2 alusel tehtud otsuse faktilised ja 
Siguslikud alused ning vajaduse korral teeb teabe kattesaadavaks Andmekaitse Inspektsioonile. 

§ 25, Andmesubjekti Signs nSuda isikuandmete parandamist ja kustutamist 

(1) Andmesubjektil on Signs nSuda vastutavalt tSStlejalt teda puudutavate ebaSigete faktidel 
pShinevate isikuandmete parandamist. 

(2) Andmesubjektil on Signs nSuda vastutavalt tSStlejalt teda puudutavate mittetaielike 
isikuandmete taiendamist, kui see on isikuandmete tSStlemise eesmarki arvestades asjakohane. 

(3) Andmesubjektil on Signs vastutavalt tSStlejalt nSuda kogutud isikuandmete kustutamist, kui: 

1) isikuandmete tSStlemine ei ole seaduse alusel lubatud; 

2) isikuandmete tSStlemisel ei arvestatud isikuandmete tSStlemise pShimStteid vSi 

3) vastutav tSStleja on kohustatud andmed kustutama taitmaks seadusest, kohtuotsusest, 
valislepingust vSi muust siduvast kokkuleppest tulenevat kohustust. 

(4) Vastutav tSStleja piirab isikuandmete kustutamise asemel nende tSStlemist, kui: 

1) andmesubjekt vaidlustab isikuandmete Sigsuse ning nende Sigsust vSi ebaSigsust ei ole 
vSimalik kindlaks teha vSi 

2) isikuandmeid tuleb sailitada tSendamise eesmargil. 
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(5) Kui vastutav tootleja on isikuandmete kustutamise asemel rakendanud kaesoleva 
paragrahvi loike 4 punktis 1 satestatud isikuandmete tootlemise piiramist, peab vastutav 
tootleja teavitama andmesubjekti sellise piirangu eemaldamisest. 

(6) Vastutav tootleja on kohustatud andmesubjekti viivitamata kirjalikult teavitama, kui ta 
keeldub isikuandmeid parandamast voi kustutamast voi nende tootlemist piiramast, ning 
esitama keeldumise pohjused. Vastutav tootleja voib jatta pohjendused esitamata, kui sellise 
teabe andmine pohjustaks mone kaesoleva seaduse § 24 loikes 2 nimetatud asjaolu esinemise. 

(7) Andmesubjekti teavitamisel kaesoleva paragrahvi loike 6 kohaselt teavitab vastutav 
tootleja andmesubjekti tema oigusest poorduda otsuse vaidlustamiseks Andmekaitse 
Inspektsiooni voi kohtu poole. 

§ 26. Vastutava tootleja kohustus teavitada isikuandmete parandamisest, kustutamisest 
ja nende tootlemise piiramisest 

(1) Vastutav tootleja on isikuandmete parandamise korral kohustatud parandamisest ja paranduse 
sisust viivitamata teavitama padevat asutust, kellelt on ebaoiged isikuandmed saadud. 

(2) Kui isikuandmeid on kaesoleva seaduse § 25 alusel parandatud voi kustutatud voi nende 
tootlemist on piiratud, on vastutav tootleja kohustatud teavitama vastuvotjaid, kellele andmed 
olid varem edastatud. 

(3) Kaesoleva paragrahvi loikes 2 nimetatud vastuvotjad on kohustatud parandama voi 
kustutama nende vastutusalasse kuuluvad isikuandmed voi piirama nende tootlemist. 

§ 27. Andmesubjekti oiguste teostamise kord 

(1) Vastutav tootleja on kohustatud vastama andmesubjekti taotlusele kokkuvotlikus, 
arusaadavas ja holpsasti kattesaadavas vormis, kasutades selget ning lihtsat sonastust. 
Andmesubjekti taotlusele vastatakse voimaluse korral andmesubjekti soovitud viisil. 

(2) Vastutav tootleja teavitab andmesubjekti pohjendamatu viivituseta iihe kuu jooksul parast 
taotluse saamist andmesubjekti taotluse alusel tehtud toimingutest. 

(3) Vastutav tootleja voib andmesubjektilt kiisida taotluse taitmisega kaasnevate seaduses voi 
seaduse alusel antud oigusaktis satestatud moistlike kulude hiivitamist voi keelduda taotletud 
meetmete votmisest, kui andmesubjekti taotlus on pohjendamatu voi iilemaarane. 

(4) Vastutav tootleja tuvastab andmesubjekti isiku ning tema oiguse saada teavet ja tema 
kohta kaivaid isikuandmeid voi oiguse nouda isikuandmete parandamist ja kustutamist. 

§ 28. Andmesubjekti oigus poorduda Andmekaitse Inspektsiooni poole 

(1) Kui andmesubjekt leiab, et isikuandmete tootlemisel rikutakse tema oigusi, on tal oigus 
poorduda kaebusega Andmekaitse Inspektsiooni poole. 

(2) Andmekaitse Inspektsioon teavitab andmesubjekti tema kaebuse alusel tehtud otsusest ja 
oigusest poorduda Andmekaitse Inspektsiooni otsuse vaidlustamiseks kohtusse. 

(3) Kui andmesubjekti kaebust on padev lahendama teise Euroopa Liidu liikmesriigi padev 
jarelevalveasutus, suunab Andmekaitse Inspektsioon andmesubjekti kaebuse esitamiseks teise 
Euroopa Liidu liikmesriigi padeva jarelevalveasutuse poole. 

4.jagu 

Vastutava ja volitatud tootleja kohustused 
§ 29. Vastutav ja volitatud tootleja 

(1) Vastutav tootleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada 
isikuandmete tootlemisel kaesoleva seaduse nouete taitmine. Vastutav tootleja on kohustatud 
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vajaduse korral toendama kaesolevas seaduses satestatud nouete taitmist. 

(2) Vastutav tootleja annab volitatud tootlejale isikuandmete tootlemiseks kohustuslikke 
juhiseid ja vastutab selle eest, et volitatud tootleja taidab isikuandmete tootlemise noudeid. 

(3) Vastutav tootleja voib kasutada iiksnes niisuguseid volitatud tootlejaid, kes annavad 
piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korraldusli kk e meetmeid sellisel 
viisil, et isikuandmete tootlemine vastab kaesoleva seaduse nouetele, ning tagab 
andmesubjekti oiguste kaitse. 

(4) Volitatud tootleja voib kaasata isikuandmete tootlemisse teisi volitatud tootlejaid iiksnes 
seaduse voi seaduse alusel antud oigusakti alusel voi vastutava tootleja kirjalikul loal ning 
tingimusel, et ei iiletata volitatud tootlejale antud volituste ulatust. Kirjaliku loa alusel antud 
volituse korral peab volitatud tootleja teavitama vastutavat tootlejat alati teise volitatud 
tootleja lisamisest voi asendamisest. Vastutav tootleja voib sel juhul muudatuste kohta 
vastuvaiteid esitada. 

(5) Kui volitatud tootleja maarab kindlaks isikuandmete tootlemise eesmargid ja vahendid 
kaesolevat seadust rikkudes, siis on konealune volitatud tootleja selle tootlemise suhtes 
vastutav tootleja. 

§ 30, Volitatud tootleja maaramine ja kohustused 

(1) Vastutav tootleja voib maarata volitatud tootleja isikuandmeid tootlema seaduse, seaduse 
alusel antud oigusakti voi kirjaliku lepingu alusel, milles satestatakse isikuandmete tootlemise 
sisu ja kestus, laad ning eesmark, toodeldavate isikuandmete kategooriad ja andmesubjektide 
kategooriad ning vastutava tootleja kohustused ja oigused. 

(2) Kaesoleva paragrahvi loikes 1 nimetatud seaduses, seaduse alusel antud oigusaktis voi 
lepingus satestatakse eelkoige, et volitatud tootleja on kohustatud: 

1) tegutsema iiksnes vastutava tootleja juhiste alusel; 

2) tagama, et isikuandmeid tootlema volitatud isik hoiab saladuses tooiilesannete taitmisel 
teatavaks saanud isikuandmeid; 

3) tagama andmesubjekti oiguste kaitse; 

4) parast andmetootlusteenuse osutamise loppu kustutama voi tagastama vastutavale tootlejale 
tema valikul koik isikuandmed ja kustutama olemasolevad koopiad, kui seaduses ei ole 
satestatud teisiti; 

5) tegema vastutavale tootlejale kattesaadavaks isikuandmete tootlemisega seonduva teabe, 
mis on vajalik kaesolevas paragrahvis satestatud nouete taitmise toendamiseks; 

6) jargima kaesoleva seaduse § 29 loikes 4 ja kaesolevas paragrahvis satestatud tingimusi 
teise volitatud tootleja kaasamiseks. 

§ 31. Kaasvastutavad tootlejad 

(1) Kui kaks voi enam vastutavat tootlejat maaravad iihiselt kindlaks isikuandmete tootlemise 
eesmargid ja vahendid, on nad kaasvastutavad tootlejad. 

(2) Kaasvastutava tootleja vastutus ja kohustuste ulatus maaratakse seaduses, seaduse alusel 
antud oigusaktis voi kaasvastutavate tootlejale vahel solmitud lepingus. 

(3) Kaesoleva paragrahvi loikes 2 nimetatud lepingus maaratakse andmesubjektide jaoks 
kindlaks kontaktpunkt, mille kaudu on andmesubjektil voimalik oma oigusi teostada. 

(4) Andmesubjekt voib kaesolevas! seaduses! tulenevaid oigusi kasutada iga vastutava tootleja 
suhtes. 

§ 32. Isikuandmete tootlemine vastutava ja volitatud tootleja nimel 

(l)Isik, kes tootleb isikuandmeid vastutava voi volitatud tootleja nimel, on kohustatud neid 
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tootlema iiksnes vastutava tootleja antud juhiste kohaselt, kui seaduses ei ole satestatud teisiti. 

(2) Isiku oigus toodelda isikuandmeid vastutava voi volitatud tootleja nimel peab tulenema 
seadusest, seaduse alusel antud oigusaktist, vastutava voi volitatud tootleja ja isiku vahel 
solmitud lepingust voi teenistussuhet reguleerivast aktist. 

§ 33, Loimitud andmekaitse ja vaikimisi andmekaitse 

(1) Vastutav ja volitatud tootleja votavad tootlemisvahendite kindlaksmaaramiseks ning 
isikuandmete tootlemiseks asjakohaseid tehnilisi ja korralduslikke meetmeid ning rakendavad 
neid j arj epidevalt. 

(2) Vastutav ja volitatud tootleja rakendavad asjakohaseid tehnilisi ning korraldusli kk e 
meetmeid, millega tagatakse, et vaikimisi toodeldakse ainult tootlemise iga konkreetse 
eesmargi saavutamiseks vajalikke isikuandmeid. 

§ 34. Isikuandmete tootlemise nduded 

Vastutav ja volitatud tootleja on isikuandmete tootlemisel kohustatud: 

1) parandama ebaoiged isikuandmed; 

2) kustutama isikuandmed, kui isikuandmete tootlemine ei ole seaduse alusel lubatud voi see 
ei vasta isikuandmete tootlemise pohimotetele; 

3) teavitama vastuvotjat, kui isikuandmed on edastatud ebaseaduslikult voi on edastatud 
ebaoiged isikuandmed; 

4) tegema koostood Andmekaitse Inspektsiooniga. 

§ 35. Isikuandmete edastamise nduded 

(1) Vastutav tootleja on kohustatud votma ja rakendama asjakohaseid meetmeid selleks, et 
mittetaielikke, ebaoigeid voi aegunud isikuandmeid ei edastataks ega tehtaks kattesaadavaks. 

(2) Vastutav tootleja lisab isikuandmete edastamisel voimaluse korral vajaliku teabe, mis 
voimaldab andmeid vastuvotval padeval asutusel hinnata isikuandmete oigsust, taielikkust, 
usaldusvaarsust ja ajakohasust. 

(3) Kui isikuandmete tootlemisele kohaldatakse eritingimusi, teavitab vastutav tootleja selliste 
isikuandmete edastamisel vastuvotjat konealustest tingimustest ja nende jargimise noudest. 

(4) Isikuandmete edastamisel teistele Euroopa Liidus asuvatele vastuvotjatele ning Euroopa 
Eiidu toimimise lepingu V jaotise 4. ja 5. peatiiki kohaselt loodud asutustele ei kohaldata 
taiendavaid isikuandmete tootlemise eritingimusi vorreldes nendega, mida kohaldatakse 
isikuandmete edastamisele riigisiseselt. 

§ 36. Logimine 

(1) Vastutav ja volitatud tootleja peavad logisid vahemalt jargmiste automatiseeritud 
siisteemides tehtavate isikuandmete tootlemise toimingute kohta: 

1) kogumine; 

2) muutmine; 

3) lugemine; 

4) avalikustamine; 

5) edastamine; 

6) iihendamine; 

7) kustutamine. 

(2) Eugemist, avalikustamist ja edastamist kajastavad logid peavad voimaldama kindlaks teha 
nimetatud toimingute tegemise pohjenduse, kuupaeva ja kellaaja ning teabe isikuandmeid 
lugenud, avalikustanud voi edastanud isiku kohta, samuti selliste isikuandmete vastuvotjate 
nimed. 
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(3) Logisid on lubatud kasutada isikuandmete tootlemise toimingute seaduslikkuse 
kontrollimiseks, siseseireks, isikuandmete terviklikkuse ja turvalisuse tagamiseks ning 
suuteomenetluse labiviimiseks. 

(4) Andmekaitse Inspektsiooni taotinsel teevad vastutav ja volitatud tootleja kaesoleva 
paragrahvi loikes 1 nimetatud teabe Andmekaitse Inspektsioonile kattesaadavaks. 

(5) Vastutav tootleja kehtestab logide sailitamise tahtajad. 

§ 37, Isikuandmete tootlemise toimingute registreerimine 

(1) Vastutav tootleja registreerib koik tema vastutusel tehtavate isikuandmete tootlemise 
toimingute liigid. Registreerida tuleb jargmine teave: 

1) vastutava tootleja ning asjakohasel juhul kaasvastutava tootleja nimi ja kontaktandmed; 

2) andmekaitsespetsialisti nimi ja kontaktandmed; 

3) isikuandmete tootlemise eesmargid; 

4) vastuvotjad voi nende kategooriad, kellele isikuandmeid on avalikustatud voi avalikustatakse; 

5) andmesubjektide kategooriate ja isikuandmete kategooriate kirjeldus; 

6) asjakohasel juhul profiilianaluusi kasutamine; 

7) asjakohasel juhul isikuandmete kolmandale riigile voi rahvusvahelisele organisatsioonile 
edastamise liigid; 

8) teave isikuandmete tootlemise oigusliku aluse kohta; 

9) voimaluse korral eriliiki isikuandmete kustutamiseks ettenahtud tahtajad; 

10) voimaluse korral kaesoleva seaduse § 43 alusel voetud isikuandmete tootlemise 
organisatsiooniliste ja tehniliste turvameetmete kirjeldus. 

(2) Volitatud tootleja registreerib koik vastutava tootleja nimel tehtavate isikuandmete 
tootlemisega seotud toimingute liigid. Registreerida tuleb jargmine teave: 

1) volitatud tootleja nimi ja kontaktandmed, samuti selle vastutava tootleja nimi ja 
kontaktandmed, kelle nimel volitatud tootleja tegutseb; 

2) asjakohasel juhul andmekaitseametniku nimi ja kontaktandmed; 

3) vastutava tootleja nimel tehtava isikuandmete tootlemise liigid; 

4) asjakohasel juhul isikuandmete edastamine kolmandale riigile voi rahvusvahelisele 
organisatsioonile, sealhulgas andmed konealuse kolmanda riigi voi rahvusvahelise 
organisatsiooni tuvastamiseks; 

5) voimaluse korral kaesoleva seaduse § 43 alusel voetud isikuandmete tootlemise 
organisatsiooniliste j a tehniliste turvameetmete kirjeldus. 

(3) Kaesoleva paragrahvi loigetes 1 ja 2 nimetatud teave registreeritakse kirjalikku taasesitamist 
voimaldavas vormis. 

(4) Andmekaitse Inspektsiooni taotlusel teeb vastutav voi volitatud tootleja kaesoleva paragrahvi 
loigetes 1 ja 2 nimetatud dokumendid Andmekaitse Inspektsioonile kattesaadavaks. 

§ 38. Andmekaitsealane mdjuhinnang 

(1) Vastutav tootleja hindab enne isikuandmete tootlemist kavandatava isikuandmete 
tootlemise toimingute moju isikuandmete kaitsele, kui isikuandmete tootlemise tulemusena 
voib tootlemise laadi, ulatust, konteksti ja eesmarke arvesse vottes kaasneda suur oht fiiusilise 
isiku oigustele ning vabadustele. 

(2) Mojuhinnang peab holmama vahemalt jargmist: 

Ijkavandatud isikuandmete tootlemise toimingute ja tootlemise eesmarkide sustemaatiline 
kirjeldus; 

2) hinnang isikuandmete tootlemise toimingute vajalikkuse ja proportsionaalsuse kohta, 
arvestades isikuandmete tootlemise eesmarke; 

3) andmesubjekti oigusi ja vabadusi puudutavate ohtude hinnang; 
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4) ohtude kasitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja 
mehhanismid isikuandmete kaitse tagamiseks ning kaesoleva seaduse jargimise toendamiseks, 
vottes arvesse andmesubjekti ja teiste asjaomaste isikute oigusi ning oigustatud huve. 

§ 39. Konsulteerimine Andmekaitse Inspektsiooniga 

(1) Kui vastutav voi volitatud tootleja kavatseb toodelda isikuandmeid, mis kantakse nude 
loodavasse andmete kogumisse, peab ta enne konsulteerima Andmekaitse Inspektsiooniga 
j argmistel juhtudel: 

1) kaesoleva seaduse § 38 alusel antud andmekaitsealasest mojuhinnangust nahtub, et 
isikuandmete tootlemise tulemusena tekiks vastutava tootleja poolt ohu leevendamiseks 
voetavate meetmete puudumise korral suur oht; 

2) isikuandmete tootlemise laadiga kaasneb suur oht andmesubjekti oigustele ja vabadustele. 

(2) Isikuandmete tootlemise nouetele vastavuse hindamiseks esitab vastutav tootleja 
Andmekaitse Inspektsioonile jargmise teabe: 

1) kaesoleva seaduse §-s 38 satestatud andmekaitsealase mojuhinnangu; 

2) kavandatud isikuandmete tootlemise eesmargi ja vahendid; 

3) andmesubjekti oiguste ja vabaduste kaitseks ettenahtud meetmed ning tagatised; 

4) asjakohasel juhul andmekaitseametniku kontaktandmed; 

5) asjakohasel juhul vastutava tootleja, kaasvastutavate tootlejate ja volitatud tootlejate 
vastutuse valdkonnad isikuandmete tootlemisel; 

6) muu Andmekaitse Inspektsiooni taotletud teabe. 

(3) Kui Andmekaitse Inspektsiooni hinnangul rikuks kaesoleva paragrahvi loikes 1 nimetatud 
kavandatav isikuandmete tootlemine kaesoleva seaduse noudeid, annab Andmekaitse 
Inspektsioon vastutavale ja asjakohasel juhul volitatud tootlejale kirjalikku nou, kuidas viia 
andmetootlus kooskolla kaesoleva seaduse nouetega. 

(4) Andmekaitse Inspektsioon annab vastutavale voi volitatud tootlejale nou kuue nadala 
jooksul kaesoleva paragrahvi loikes 2 nimetatud teabe kattesaamisest arvates. 

(5) Kaesoleva paragrahvi loikes 4 nimetatud tahtaega voib pikendada iihe kuu vorra, 
arvestades kavandatud isikuandmete tootlemise keerukust. Andmekaitse Inspektsioon teavitab 
vastutavat voi volitatud tootlejat tahtaja pikendamisest iihe kuu jooksul konsulteerimise 
taotluse saamisest arvates. Tahtaja pikendamist tuleb pohjendada. 

(6) Andmekaitse Inspektsioon voib koostada loetelu isikuandmete tootlemise toimingutest, 
mille puhul on kaesoleva paragrahvi loikes 1 nimetatud varasem konsulteerimine vajalik. 

S.jagu 

Andmekaitsespetsialist 
§ 40. Andmekaitsespetsialist! maaramine 

(1) Oiguskaitseasutus maarab andmekaitsespetsialisti. Sellest kohustusest on vabastatud 
kohtud oigusemoistmise funktsiooni taites. 

(2) Oiguskaitseasutus voib mitme asutuse voi organi jaoks maarata iihe 
andmekaitsespetsialisti olenevalt nende organisatsioonilisest struktuurist ja suurusest. 

(3) Andmekaitsespetsialisti maaramisel lahtutakse tema kutseoskustest ja eksperditeadmistest 
andmekaitsealaste oigusaktide ja tava kohta ning suutlikkusest taita kaesoleva seaduse §-s 41 
satestatud iilesandeid. 

(4) Andmekaitsespetsialist voib olla oiguskaitseasutuse teenistuses olev ametnik voi tootaja 
voi taita iilesandeid teenuslepingu alusel. 
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§ 41. Andmekaitsespetsialisti iilesanded 

(1) Andmekaitsespetsialist taidab vahemalt jargmisi iilesandeid: 

1) teavitab ja noustab oiguskaitseasutust ning tema iilesandel isikuandmeid tootlevaid 
ametnikke ja tootajaid seoses nende kohustustega, mis tulenevad kaesolevast seadusest ning 
muudest Euroopa Liidu voi selle liikmesriikide andmekaitsenormidest; 

2) tagab kooskola kaesoleva seaduse, vajaduse korral muude Euroopa Eiidu voi selle 
liikmesriikide andmekaitsenormidega ja vastutava tootleja sise-eeskirjadega, mis kasitlevad 
isikuandmete kaitse pohimotteid ning isikuandmete tootlemises osalevate ametnike ja 
tootajate teadlikkuse suurendamist ning koolitamist; 

3) annab nou seoses andmekaitsealase mojuhinnanguga ja jalgib selle toimimist kaesoleva 
seaduse § 38 kohaselt; 

4) teeb koostood Andmekaitse Inspektsiooniga; 

5) tegutseb isikuandmete tootlemise kiisimustes Andmekaitse Inspektsiooni kontaktisikuna, 
sealhulgas kaesoleva seaduse §-s 39 satestatud varasema konsulteerimise kaigus, ning 
konsulteerib vajaduse korral ka muudes kiisimustes. 

(2) Kohtu andmekaitsespetsialist ei taida kaesoleva paragrahvi loikes 1 nimetatud iilesandeid 
kohtu oigusemoistmisega seotud tegevuste suhtes. 

(3) Andmekaitsespetsialist voib taita muid iilesandeid ja kohustusi. Vastutav tootleja voi 
volitatud tootleja tagab, et sellised iilesanded ja kohustused ei pohjusta 
andmekaitsespetsialistil huvide konflikti. 

§ 42. Andmekaitsespetsialisti ametiseisund 

(1) Vastutav tootleja tagab andmekaitsespetsialisti nouetekohase ja oigeaegse kaasamise 
koikidesse isikuandmete kaitse kiisimustesse. 

(2) Vastutav tootleja toetab andmekaitsespetsialisti kaesoleva seaduse §-s 41 osutatud 
iilesannete taitmisel, andes talle konealuste iilesannete taitmiseks ja eksperditeadmiste taseme 
hoidmiseks vajalikud vahendid ning juurdepaasu isikuandmetele ja nende tootlemise 
toimingutele. 

(3) Andmekaitsespetsialisti ametiseisundile kohaldatakse Euroopa Parlamendi ja noukogu 
maaruse (EE) 2016/679 artikli 38 loigetes 3-6 satestatut. 

6.jagu 

Isikuandmete tootlemise turvameetmed 
ja isikuandmetega seotud rikkumisest teavitamine 

§ 43. Isikuandmete tootlemise turvameetmed 

Vastutav ja volitatud tootleja on kohustatud votma ning rakendama organisatsioonilisi ja 
tehnilisi turvameetmeid isikuandmete kaitseks, et: 

Ijkeelata volitamata isikute juurdepaas isikuandmete tootlemiseks kasutatavatele 
andmetootlusseadmetele; 

2) ara hoida andmekandjate omavoliline lugemine, kopeerimine, muutmine ja korvaldamine; 

3) ara hoida isikuandmete omavoliline sisestamine ja sailitatavate isikuandmetega tutvumine, 
nende muutmine voi kustutamine; 

4) ara hoida andmetootlussiisteemi kasutamine andmesidevahendite abil volitamata isikute 
pooh; 

5) tagada juurdepaas automatiseeritud andmetootlussiisteemi kasutamise luba omavale 
kasutajale iiksnes nendele isikuandmetele, mida holmab tema juurdepaasuluba; 
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6) tagada voimalus toendada ja kindlaks maarata, millistele asutustele on isikuandmeid 
andmesidevahendite kaudu edastatud voi kattesaadavaks tehtud ja millistele asutustele voib 
neid edastada voi kattesaadavaks teha; 

7) tagada voimalus toendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud 
andmetootlussiisteemi sisestatud ning millal ja kes need on sisestanud; 

8) ara hoida isikuandmete loata lugemine, kopeerimine, muutmine voi kustutamine 
isikuandmete edastamise voi andmekandjate vedamise ajal; 

9) tagada voimalus paigaldatud andmetootlussiisteeme katkestuse korral taastada; 

10) tagada andmetootlussiisteemi toimimine ja selle ilmnevatest toimimisvigadest 
teavitamine; 

11) ara hoida isikuandmete moonutamine siisteemirikete tagajarjel. 

§ 44. Andmekaitse Inspektsiooni teavitamine isikuandmetega seotud rikkumisest 

(1) Kui isikuandmetega seotud rikkumine kujutab endast toenaoliselt ohtu fuiisilise isiku 
oigustele ja vabadustele, teatab vastutav tootleja ri kk umisest Andmekaitse Inspektsioonile 
viivitamata, voimaluse korral 72 tunni jooksul parast sellest teada saamist. 

(2) Volitatud tootleja teavitab vastutavat tootlejat viivitamata parast isikuandmetega seotud 
rikkumisest teada saamist. 

(3) Kaesoleva paragrahvi loikes 1 nimetatud teates tuleb esitada jargmine teave; 

1) rikkumise sisu, sealhulgas isikuandmetega seotud rikkumise laad, voimaluse korral 
asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmete 
kategooriad ja ligikaudne arv; 

2) andmekaitseametniku nimi ja kontaktandmed; 

3) isikuandmetega seotud ri kk umise voimalike tagajargede kirjeldus; 

4) vastutava tootleja voetud voi kavandatud meetmed isikuandmetega seotud rikkumiste 
lahendamiseks, sealhulgas meetmed rikkumise voimalike tagajargede kahjuliku moju 
leevendamiseks. 

(4) Kui Andmekaitse Inspektsiooni teavitatakse isikuandmetega seotud rikkumisest parast 
72 tunni moodumist sellest teada saamisest, esitatakse selle kohta pohjendus. 

(5) Kui isikuandmetega seotud ri kk umine puudutab isikuandmeid, mis on edastatud teise 
Euroopa Liidu liikmesriigi vastutava tootleja poolt voi teise Euroopa Eiidu liikmesriigi 
vastutavale tootlejale, edastatakse kaesoleva paragrahvi loikes 3 osutatud teave pohjendamatu 
viivituseta konealuse liikmesriigi vastutavale tootlejale. 

(6) Vastutav tootleja dokumenteerib koik kaesoleva paragrahvi loikes 1 nimetatud 
isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, moju ja voetud 
parandusmeetmed. 

§ 45. Andmesubjekti teavitamine isikuandmetega seotud rikkumisest 

(1) Kui rikkumine kujutab endast toenaoliselt suurt ohtu fiiusilise isiku oigustele ja 
vabadustele, teavitab vastutav tootleja viivitamata andmesubjekti isikuandmetega seotud 
rikkumisest. 

(2) Kaesoleva paragrahvi loikes 1 nimetatud teavitamisel kirjeldatakse selges ja lihtsas keeles 
isikuandmetega seotud rikkumise laadi ning esitatakse vahemalt kaesoleva seaduse § 44 
loike 3 punktides 2-4 nimetatud teave. 

(3) Kaesoleva paragrahvi loikes 1 nimetatud teavitamine ei ole noutav, kui on taidetud 
vahemalt iiks jargmistest tingimustest: 

1) vastutav tootleja on rakendanud asjakohaseid tehnoloogilisi ja korralduslikke 
kaitsemeetmeid ning neid on kohaldatud isikuandmetega seotud rikkumisest mojutatud 
isikuandmetele; 
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2) vastutav tootleja on votnud hilisemad meetmed, mis valistavad kaesoleva paragrahvi 
loikes 1 nimetatud suure ohu realiseerumise andmesubjekti oigustele ja vabadustele; 

3) andmesubjekti individuaalne teavitamine tooks kaasa ebaproportsionaalsed kulud ja 
rikkumisest on iildsust teavitatud. 

(4) Kui vastutav tootleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel 
teavitanud, voib Andmekaitse Inspektsioon parast rikkumise raskuse hindamist otsustada, kas 
andmesubjekti teavitamine isikuandmetega seotud ri kk umisest on noutav voi esineb moni 
kaesoleva paragrahvi loikes 3 nimetatud juhtudest. 

(5) Kaesoleva paragrahvi loikes 1 nimetatud ri kk umisest voib andmesubjekti teavitada hiljem, 
piiratud ulatuses voi jatta ta teavitamata, kui see voib: 

1) takistada voi kahjustada suiiteo tokestamist, avastamist voi menetlemist voi karistuse 
taideviimist; 

2) kahjustada teise isiku oigusi ja vabadusi; 

3) ohustada riigi julgeolekut; 

4) ohustada avaliku korra kaitset; 

5) takistada ametlikku uurimist voi menetlust. 

7.jagu 

Isikuandmete edastamine kolmandale riigile 
ja rahvusvahelisele organisatsioonile 

§ 46. Isikuandmete kolmandale riigile ja rahvusvahelisele organisatsioonile edastamise 
iildtingimused 

(1) Isikuandmeid on lubatud edastada kolmandale riigile voi rahvusvahelisele 
organisatsioonile iiksnes juhul, kui on taidetud koik jargmised tingimused: 

1) edastamine on vajalik suiiteo tokestamiseks, avastamiseks voi menetlemiseks voi karistuse 
taideviimiseks; 

2) isikuandmeid edastatakse vastutavale tootlejale kolmandas riigis voi rahvusvahelises 
organisatsioonis, kes on padev suiitegu tokestama, avastama ja menetlema voi karistust taide 
viima; 

3) teise Euroopa Liidu liikmesriigi nousolek andmete edasiseks kasutamiseks, kui edastatavad 
andmed on saadud sellest liikmesriigist; 

4) Euroopa Komisjon on vastu votnud Euroopa Parlamendi ja noukogu direktiivi (EE) 
2016/680 artikli 36 kohaselt otsuse kaitse piisavuse kohta voi sellise otsuse puudumisel on 
voetud kaesoleva seaduse §-s 47 nimetatud piisavad kaitsemeetmed voi nende puudumisel 
kohaldatakse kaesoleva seaduse §-s 48 nimetatud erandit; 

5) isikuandmete edastamisel tagatakse, et andmeid edastav vastutav tootleja on isikuandmete 
edasiseks edastamiseks muule kolmandale riigile voi rahvusvahelisele organisatsioonile 
andnud varasema nousoleku. 

(2) Kui kaesoleva paragrahvi loike 1 punktis 3 nimetatud luba isikuandmete edastamiseks ei 
ole voimalik oigel ajal saada ning isikuandmete edastamine on vajalik riigi voi kolmanda riigi 
avalikku korda ahvardava vahetu ja tosise ohu valtimiseks voi riigi olulise huvi kaitseks, siis 
voib isikuandmeid edastada ilma kaesoleva paragrahvi loike 1 punktis 3 nimetatud loata. 
Kaesolevas loikes satestatud andmevahetusest teavitatakse viivitamata isikuandmeid 
edastanud Euroopa Liidu liikmesriigi padevat asutust. 

(3) Kaesoleva paragrahvi loike 1 punktis 5 nimetatud nousoleku andmisel votab vastutav voi 
volitatud tootleja muu hulgas arvesse suiiteo raskust, isikuandmete algse edastamise eesmarki 
ja isikuandmete kaitse taset selles kolmandas riigis voi rahvusvahelises organisatsioonis, kuhu 
isikuandmed edasi saadetakse. 
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(4)Kui Euroopa Komisjon on vastu votnud Euroopa Parlamendi ja noukogu direktiivi (EE) 
2016/680 artikli 36 loikes 5 nimetatud otsuse, voib isikuandmeid edastada kolmandale riigile 
voi rahvusvahelisele organisatsioonile kaesoleva seaduse §-de 47 ja 48 alusel. 

§ 47. Isikuandmete edastamine asjakohaste kaitsemeetmete kohaldamisel 

Kui puudub kaesoleva seaduse § 46 loike 1 punktis 4 nimetatud Euroopa Komisjoni otsus 
kaitse piisavuse kohta, voib isikuandmeid edastada kolmandale riigile voi rahvusvahelisele 
organisatsioonile j argmistel juhtudel: 

1) isikuandmete kaitseks voetavad asjakohased kaitsemeetmed on satestatud oiguslikult 
siduvas aktis; 

2) vastutav tootleja on hinnanud koiki isikuandmete edastamisega seotud asjaolusid ning 
leidnud, et on voetud koik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed. 

§ 48. Isikuandmete edastamine erandlikel juhtudel 

(1) Kui puudub kaesoleva seaduse § 46 loike 1 punktis 4 nimetatud Euroopa Komisjoni otsus 
kaitse piisavuse kohta voi puuduvad §-s 47 nimetatud asjakohased kaitsemeetmed, on 
isikuandmete edastamine kolmandale riigile voi rahvusvahelisele organisatsioonile lubatud, 
kui see on vajalik: 

1) andmesubjekti voi teise isiku oiguste ja vabaduste kaitsmiseks; 

2) andmesubjekti oigusparaste huvide kaitsmiseks; 

3) avalikku korda ahvardava vahetu ja tosise ohu ennetamiseks; 

4) konkreetse suiiteo tokestamiseks, avastamiseks voi menetlemiseks voi karistuse 
taideviimiseks voi 

5) konkreetse suiiteo tokestamise, avastamise voi menetlemise voi karistuse taideviimise 
eesmargiga seotud konkreetse oigusnoude koostamiseks, esitamiseks voi kaitsmiseks. 

(2) Kui andmesubjekti oigused on kaalukamad, kui on kaesoleva paragrahvi loike 1 
punktides 4 ja 5 satestatud huvi, ei ole isikuandmete edastamine lubatud. 

§ 49. Isikuandmete edastamine kolmandas riigis asuvale vastuvotjale 

Isikuandmeid voib edastada vahetult kolmandas riigis asuvale vastuvotjale, kui on taidetud 
koik jargmised tingimused: 

1) edastamine on rangelt vajalik isikuandmeid edastava oiguskaitseasutuse iilesande 
taitmiseks suiiteo tokestamise, avastamise voi menetlemise voi karistuse taideviimise 
eesmargil; 

2) avalik huvi on kaalukam kui andmesubjekti oigused j a vabadused; 

3) isikuandmete edastamine kolmanda riigi asutusele, kes on padev suiitegu tokestama, 
avastama ja menetlema voi karistust taide viima, ei ole tohus voi asjakohane; 

4) kolmanda riigi asutust, kes on padev suiitegu tokestama, avastama ja menetlema voi 
karistust taide viima, teavitatakse viivitamata, valja arvatud juhul, kui see ei ole tohus voi 
asjakohane; 

5) vastuvotjat teavitatakse isikuandmete tootlemise konkreetsest eesmargist ja suunatakse 
isikuandmeid tootlema ainult nimetatud eesmargil. 

§ 50. Andmekaitse Inspektsiooni teavitamine ja isikuandmete edastamise dokumenteerimine 

(1) Vastutav voi volitatud tootleja annab iilevaate Andmekaitse Inspektsioonile kaesoleva 
seaduse § 47 punkti 2 ja § 49 alusel toimunud isikuandmete edastamisest vahemalt iiks kord 
aastas. 

(2) Kui isikuandmeid edastatakse kaesoleva seaduse § 47 punkti 2, § 48 loike 1 voi § 49 
alusel, dokumenteerib vastutav voi volitatud tootleja sellise edastamise, sealhulgas edastamise 
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kuupaeva ja kellaaja, vastuvotva padeva asutuse andmed, edastamise selgituse ning edastatud 
isikuandmed. 

(3) Andmekaitse Inspektsiooni taotlusel teeb vastutav voi volitatud tootleja kaesoleva 
paragrahvi loikes 2 nimetatud dokumendid talle kattesaadavaks. 

5, peatiikk 

RIIKLIK JA HALDUSJARELEVALVE 
l.jagu 

Jarelevalveasutus 

§ 51, Soltumatu jarelevalveasutuse moodustamine 

(1) Soltumatu jarelevalveasutus Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 
artikli 51 loike 1 ning Euroopa Parlamendi ja noukogu direktiivi (EL) 2016/680 artikli 41 
tahenduses on Andmekaitse Inspektsioon. 

(2) Andmekaitse Inspektsioon on oma iilesannete taitmisel soltumatu ja tegutseb, lahtudes 
kaesolevast seadusest, Euroopa Parlamendi ja noukogu maarusest (EL) 2016/679, muudest 
seadustest ja nende alusel kehtestatud oigusaktidest. 

§ 52. Andmekaitse Inspektsiooni Juki ametisse nimetamiseks ndutav kvalifikatsioon 

(1) Andmekaitse Inspektsiooni juhina voib tootada juhtimiskogemusega korgharidusega isik, 
kellel on teadmised isikuandmete kaitse oiguslikust regulatsioonist ning info- ja 
kommunikatsioonitehnoloogiast, sealhulgas infosusteemidest. 

(2) Andmekaitse Inspektsiooni juht ei tohi ametisoleku ajal osaleda erakondade tegevuses ega 
tootada muul palgalisel too- voi ametikohal, valja arvatud pedagoogiline ja teadustoo. 

§ 53. Andmekaitse Inspektsiooni juhi kandidaadi julgeolekukontroll 

(1) Andmekaitse Inspektsiooni juhi kandidaat peab enne Andmekaitse Inspektsiooni juhiks 
nimetamist labima julgeolekukontrolli, valja arvatud juhul, kui tal on kehtiv taiesti salajase 
taseme riigisaladusele juurdepaasu luba voi kui ta on kandidaadiks saamise ajal ametikohal, 
millel on ametikohajargne oigus juurdepaasuks koigile riigisaladuse tasemetele. 

(2) Andmekaitse Inspektsiooni juhi kandidaadi julgeolekukontrolli teeb Kaitsepolitseiamet 
julgeolekuasutuste seaduses ettenahtud korras. 

(3) Julgeolekukontrolli labimiseks taidab Andmekaitse Inspektsiooni juhi kandidaat 
riigisaladusele juurdepaasu loa taotleja ankeedi ja allkirjastab nousoleku, millega lubab 
julgeolekukontrolli tegeval asutusel saada julgeolekukontrolli tegemise ajal enda kohta teavet 
fiiusilistelt ja juriidilistelt isikutelt ning riigi- ja kohaliku omavalitsuse asutustelt ja organitelt, 
ning esitab need Justiitsministeeriumi kaudu Kaitsepolitseiametile. 

(4) Kaitsepolitseiamet edastab julgeolekukontrolli tulemusena kogutud andmed valdkonna 
eest vastutavale ministrile kolme kuu jooksul arvates kaesoleva paragrahvi loikes 3 nimetatud 
dokumentide saamisest, lisades oma arvamuse Andmekaitse Inspektsiooni juhi kandidaadi 
vastavuse kohta riigisaladusele juurdepaasu loa saamise tingimustele. 

(5) Kui Andmekaitse Inspektsiooni juhi volitused on loppenud enne tahtaega, tuleb 
julgeolekukontroll Andmekaitse Inspektsiooni juhi kandidaadi suhtes teha iihe kuu jooksul 
arvates kaesoleva paragrahvi loikes 3 nimetatud dokumentide saamisest. Vabariigi Valitsuse 
julgeolekukomisjoni loal voib julgeolekukontrolli tegemise tahtaega pikendada iihe kuu vorra, 
kui esineb riigisaladuse j a salastatud valisteabe seaduse § 33 loike 4 punktis 1 voi 2 nimetatud 
asjaolu voi iihe kuu jooksul on voimalik punktis 3 voi 4 nimetatud asjaolu ilmnemine. 
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(6)Tehtud julgeolekukontrolli kaigus kogutud andmetele tuginedes voib Andmekaitse 
Inspektsiooni juhi kandidaadi ametisse nimetada iiheksa kuu jooksul arvates ajast, kui 
Kaitsepolitseiamet edastas julgeolekukontrolli kaigus kogutud teabe valdkonna eest 
vastutavale ministrile. Nimetatud tahtajast hiljem voib Andmekaitse Inspektsiooni juhi 
kandidaadi ametisse nimetada parast uue julgeolekukontrolli labimist. 

§ 54. Andmekaitse Inspektsiooni juhi ametisse nimetamine ja ametist vabastamine 

(1) Andmekaitse Inspektsiooni juhi nimetab valdkonna eest vastutava ministri ettepanekul 
viieks aastaks ametisse Vabariigi Valitsus, olles enne ara kuulanud Riigikogu 
pohiseaduskomisjoni seisukoha. 

(2) Enne Andmekaitse Inspektsiooni juhi ennetahtaegset ametist vabastamist kuulatakse ara 
Riigikogu pohiseaduskomisjoni seisukoht. 

§ 55, Andmekaitse Inspektsiooni padevus sertifitseerimisasutuse akrediteerimisel 

Padev asutus Euroopa Parlamendi ja noukogu maaruse (EE) 2016/679 artikli 43 loike I 
tahenduses, kes on padev akrediteerima sertifitseerimisasutusi, millel on andmekaitse vallas 
asjakohased eksperditeadmised, on Andmekaitse Inspektsioon. 

2.jagu 

Riikliku ja haldusjarelevalve teostamine 

§ 56. Andmekaitse Inspektsiooni padevus riikliku ja haldusjarelevalve teostamisel 

(1) Kaesolevas seaduses, selle alusel kehtestatud oigusaktides ning Euroopa Parlamendi ja 
noukogu maaruses (EE) 2016/679 satestatud nouete ning muudes seadustes isikuandmete 
tootlemisele kehtestatud nouete taitmise rile teostab riiklikku ja haldusjarelevalve! 
Andmekaitse Inspektsioon. 

(2) Eisaks Euroopa Parlamendi ja noukogu maaruse (EE) 2016/679 artiklis 57 satestatule on 
Andmekaitse Inspektsiooni padevuses: 

1) suurendada rildsuse, vastutavate tootlejate ja volitatud tootlejate teadlikkust ning arusaamist 
isikuandmete tootlemisel esinevatest ohtudest, tootlemise kohta kehtivatest normidest ja 
kaitsemeetmetest ning isikuandmete tootlemisega seotud oigustest; selle iilesande taitmiseks 
voib Andmekaitse Inspektsioon anda soovituslikke juhiseid; 

2) anda andmesubjektile taotluse korral teavet tema kaesolevast seadusest tulenevate oiguste 
teostamise kohta ja teha asjakohasel juhul sel eesmargil koostood teiste Euroopa Liidu 
liikmesriikide j arelevalveasutustega; 

3) algatada vajaduse korral vaarteomenetlus ja kohaldada karistust, juhul kui teiste 
haldusoiguslike meetmetega ei ole voimalik saavutada seaduses voi Euroopa Parlamendi ja 
noukogu maaruses (EE) 2016/679 satestatud nouete taitmist; 

4) teha koostood rahvusvaheliste andmekaitse jarelevalve organisatsioonidega ja teiste 
andmekaitse jarelevalve asutuste ning valisriikide muude padevate asutuste ja isikutega; 

5) jalgida asjaomaseid suundumusi niivord, kuivord need mojutavad isikuandmete kaitset, 
eelkoige info- ja kommunikatsioonitehnoloogia arengut; 

6) anda nou kaesoleva seaduse §-s 39 osutatud isikuandmete tootlemise toimingute kohta; 

7) osaleda Euroopa Andmekaitsenoukogus; 

8) rakendada haldussundi seadustes ettenahtud alustel, ulatuses ja korras; 

9) esitada omal algatusel voi taotluse alusel isikuandmete kaitsega seotud krisimustes 
arvamusi Riigikogule, Vabariigi Valitsusele, oiguskantslerile ja muudele asutustele ning 
avalikkusele; 

10) taita muid seadustes! tulenevaid ulesandeid. 
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(3) Lisaks Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artiklis 57 satestatule on 
Andmekaitse Inspektsioonil oigus: 

1) hoiatada vastutavat tootlejat ja volitatud tootlejat, et kavandatavad isikuandmete tootlemise 
toimingud rikuvad toenaoliselt kaesolevat seadust; 

2) nouda isikuandmete parandamist; 

3) nouda isikuandmete kustutamist; 

4) nouda isikuandmete tootlemise piiramist; 

5) nouda isikuandmete tootlemise lopetamist, sealhulgas havitamist voi arhiivi edastamist; 

6) rakendada isiku oiguste ja vabaduste kahjustamise arahoidmiseks vajaduse korral 
asendustaitmise ja sunniraha seaduses satestatud korras viivitamata isikuandmete kaitseks 
organisatsioonilisi, fiiusilisi ning infotehnilisi turvameetmeid, valja arvatud juhul, kui 
isikuandmeid tootleb riigiasutus; 

7) kehtestada ajutine voi alaline isikuandmete tootlemise piirang, sealhulgas isikuandmete 
tootlemise keeld; 

8) algatada jarelevalvemenetlus kaebuse alusel voi omal algatusel. 

§ 57. Riikliku jarelevalve erimeetmed 

Andmekaitse Inspektsioon voib kaesolevas seaduses satestatud riikliku jarelevalve 
teostamiseks kohaldada korrakaitseseaduse §-des 30-32, 44 ja 49-53 satestatud riikliku 
jarelevalve erimeetmeid korrakaitseseaduses satestatud alusel ja korras. 

§ 58, Riikliku jarelevalve erisused 

(1) Andmekaitse Inspektsioon voib riikliku jarelevalve teostamiseks rakendada Euroopa 
Parlamendi j a noukogu maaruse (EL) 2016/679 artiklis 58 satestatud meetmeid. 

(2) Andmekaitse Inspektsioon voib teha paringu elektroonilise side ettevotjale iildkasutatava 
elektroonilise side vorgus kasutatavate identifitseerimistunnustega seotud loppkasutaja 
tuvastamiseks vajalike andmete kohta, valja arvatud sonumi edastamise faktiga seotud 
andmed, kui muul viisil ei ole voimalik identifitseerimistunnustega seotud loppkasutajat 
tuvastada. 

§ 59, Haldusjarelevalve erisused 

(1) Andmekaitse Inspektsioon voib haldusjarelevalve teostamisel kooskolas Euroopa 
Parlamendi ja noukogu maaruse (EL) 2016/679 artikli 83 loikega 7 ning Vabariigi Valitsuse 
seaduse §-des 75^ ja 75^ satestatu kohaselt antud ettekirjutuse taitmata jatmise korral 
poorduda ettekirjutuse saaja korgemalseisva asutuse, isiku voi kogu poole teenistusliku 
jarelevalve korraldamiseks voi ametniku suhtes distsiplinaarmenetluse algatamiseks. 

(2) Teenistusliku jarelevalve teostaja voi distsiplinaarmenetluse algatamise oigust omav isik 
on kohustatud taotluse labi vaatama selle saamisest arvates iihe kuu jooksul ja esitama oma 
pohjendatud arvamuse Andmekaitse Inspektsioonile. Teenistusliku jarelevalve voi 
distsiplinaarmenetluse algatamise korral on jarelevalve teostajal voi distsiplinaarmenetluse 
algatamise oigust omaval isikul kohustus teavitada Andmekaitse Inspektsiooni viivitamata 
asjakohase menetluse tulemustest. 

(3) Kui riigiasutusest isikuandmete tootleja ei ole Andmekaitse Inspektsiooni ettekirjutust 
selles maaratud tahtaja jooksul taitnud, poordub Andmekaitse Inspektsioon 
halduskohtumenetluse seadustikus satestatud korras protestiga halduskohtusse. 

§ 60. Sunniraha maar 

Andmekaitse Inspektsiooni ettekirjutuse taitmata jatmise korral on asendustaitmise ja 
sunniraha seaduses satestatud korras rakendatava sunniraha kohaldamise igakordne iilemmaar 
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kuni 20 000 000 eurot voi ettevotja puhul kuni 4 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 61. Kaebuse labivaatamise tahtaeg 

(1) Andmekaitse Inspektsioon lahendab kaebuse 30 paeva jooksul kaebuse Andmekaitse 
Inspektsioonile esitamisest arvates. 

(2) Kaebuse lahendamiseks vaj alike asjaolude taiendavaks selgitamiseks voib Andmekaitse 
Inspektsioon kaebuse labivaatamise tahtaega pikendada kuni 60 paeva vorra. Tahtaja 
pikendamisest tuleb kaebuse esitajale kirjalikult teatada. 

(3) Kui kaebuse lahendamiseks on vaja teha koostood teiste asjaomaste jarelevalveasutustega, 
shs pikeneb kaebuse labivaatamine moistliku aja vorra, mis on vajalik koostood tegevate 
jarelevalveasutuste arvamuse arakuulamiseks voi oma arvamuse andmiseks. 

6, peatiikk 
VASTUTUS 

§ 62. Vastutava tootleja ja volitatud tootleja kohustuse rikkumine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artiklites 8, 11, 25-39, 42 ja 43 
satestatud vastutava tootleja voi volitatud tootleja kohustuse rikkumise eest - 
karistatakse rahatrahviga kuni 10 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 10 000 000 eurot voi kuni 2 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 63. Sertifitseerimiskorra rikkumine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artiklites 42 ja 43 satestatud 
sertifitseerimiskorra ri kk umise eest - 

karistatakse rahatrahviga kuni 10 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 10 000 000 eurot voi kuni 2 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 64. Toimimisjuhendi jargimise tile jarelevalve teostamise korra rikkumine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artikli 41 loikes 4 satestatud 
toimimisjuhendi jargimise tile jarelevalve teostamise korra rikkumise eest - 

karistatakse rahatrahviga kuni 10 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 10 000 000 eurot voi kuni 2 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 65. Isikuandmete tootlemise pdhimdtete rikkumine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artiklis 5 satestatud isikuandmete 
tootlemise pohimotete rikkumise eest, samuti nimetatud maaruse artiklites 5-7 ja 9 satestatud 
andmesubjekti nousoleku andmise korra rikkumise eest - 

karistatakse rahatrahviga kuni 20 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 20 000 000 eurot voi kuni 4 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 
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§ 66. Andmesubjekti diguste rikkumine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artiklites 12-22 satestatud 
andmesubjekti oiguse rikkumise eest - 

karistatakse rahatrahviga kuni 20 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 20 000 000 eurot voi kuni 4 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 67. Isikuandmete edastamise korra rikkumine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artiklites 44-49 satestatud 
isikuandmete edastamise korra ri kk umise eest - 

karistatakse rahatrahviga kuni 20 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 20 000 000 eurot voi kuni 4 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 68. Isikuandmete tootlemise erialuste kohta satestatud korra rikkumine 

(1) Kaesoleva seaduse 2. peatiikis satestatud isikuandmete tootlemise erialuste kohta satestatud 
korra rikkumise eest - 

karistatakse rahatrahviga kuni 20 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 20 000 000 eurot voi kuni 4 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 69. Andmekaitse Inspektsiooni korralduse taitmata jatmine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 artikli 58 loikes 2 satestatud 
korralduse taitmata jatmise eest - 

karistatakse rahatrahviga kuni 20 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 20 000 000 eurot voi kuni 4 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 70. Andmekaitse Inspektsiooni juurdepaasu vdimaldamise rikkumine 

(1) Euroopa Parlamendi ja noukogu maaruse (EL) 2016/679 art ik li 58 loikes 1 satestatud 
uurimisvolituse alusel antud korralduse taitmata jatmise eest, kui sellega ei voimaldata 
Andmekaitse Inspektsioonile juurdepaasu isikuandmetele, muule teabele voi ruumidele, - 
karistatakse rahatrahviga kuni 20 000 000 eurot. 

(2) Sama teo eest, kui selle on toime pannud juriidiline isik, - 

karistatakse rahatrahviga kuni 20 000 000 eurot voi kuni 4 protsenti tema eelmise majandusaasta 
iilemaailmsest aastasest kogukaibest, olenevalt sellest, kumb summa on suurem. 

§ 71. Isikuandmete ebaseaduslik tootlemine too- voi teenistusiilesannete valiselt 

Isikuandmete ebaseadusliku kogumise, vaatamise, lugemise, kasutamise, nendele juurdepaasu 
voi nende kohta paringute voi valjavotete tegemise eest isiku poolt, kellel on juurdepaas 
isikuandmetele oma too- voi teenistusiilesannetest lahtudes, kui puuduvad karistusseadustiku 
§-des 157 ja 157^ satestatud siiiiteokoosseisud, - 
karistatakse rahatrahviga kuni 200 trahviiihikut. 
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§ 72, Muude isikuandmete tootlemise nouete rikkumine 

Isikuandmete kaitse nouete rikkumise eest, kui puuduvad kaesoleva seaduse §-des 62-71 ning 
karistusseadustiku §-des 157 ja 157* satestatud siluteokoosseisud, - 
karistatakse rahatrahviga kuni 200 trahviuhikut. 

§ 73. Menetlus 

Kaesolevas peatiikis satestatud vaartegude kohtuvaline menetleja on Andmekaitse Inspektsioon. 

7, peatiikk 

RAKENDUSSATTED 

§ 74, Isikuandmete tootlejate ja isikuandmete kaitse eest vastutavate isikute register 

(1) Isikuandmete tootlejate ja isikuandmete kaitse eest vastutavate isikute registri andmeid 
sailitatakse arhiveerituna kuni viis aastat kaesoleva seaduse joustumisest arvates. Tahtaja 
saabumisel registriandmed kustutatakse. 

(2) Registriandmetele juurdepaasuks esitatakse taotlus Andmekaitse Inspektsioonile. 

(3) Delikaatsete isikuandmete tootlemise registrikandel on informatiivne tahendus sellele 
esialgu maaratud kehtivusaja lopuni. 

§ 75. Isikuandmete kaitse seaduse kehtetuks tunnistamine 

Isikuandmete kaitse seadus (RTI 2007, 24, 127) tunnistatakse kehtetuks. 

§ 76, Seaduse joustumine 

Kaesolev seadus joustub 2019. aasta 15. jaanuaril. 


* Euroopa Parlamendi ja noukogu direktiiv (EL) 2016/680, mis kasitleb fiiusiliste isikute 
kaitset seoses padevates asutustes isikuandmete tootlemisega suiitegude tokestamise, 
uurimise, avastamise ja nende eest vastutusele votmise voi kriminaalkaristuste taitmisele 
pooramise eesmargil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks 
noukogu raamotsus 2008/977/JSK (ELI L 119, 04.05.2016, Ik 89-131). 


Eiki Nestor 
Riigikogu esimees 

Tallinn, 12. detsember 2018 
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